Последствия несоблюдения закона о персональных данных

1 июля 2017 вступает в силу новая редакция ст. 13.11 КоАП РФ, в которой прописана ответственность за нарушения при работе с персональными данными. За что накажут и какие штрафы придется заплатить, рассказывает эксперт. 

Проверять компании будет Роскомнадзор. Порядок проверок прописан в приказе Минсвязи РФ от 14 ноября 2011 г. № 312.

В 2016 за нарушение порядка сбора, хранения, использования или распространения персональных данных не только кадровыми агентствами, но и любыми работодателями был максимальный штраф для юридических лиц — 10000 рублей, для должностных — 1000 рублей. 

С 1 июля 2017 вносятся изменения. Новая редакция статьи 13.11 КоАП РФ разрастется до 7 частей — с указанием специального состава. Штрафы станут ощутимее. 

С 1 июля за нарушения в области персональных данных наказывать будут за конкретные, а не за общие правонарушения. 

За что и как накажут: избранные нарушения 

1) Самым «дорогим» будет штраф за обработку персональных данных без письменного согласия граждан. В согласии должны быть указаны: ФИО, адрес гражданина (сотрудника), удостоверяющий личность документ, наименование и адрес компании, цель обработки персональных данных и их перечень и проч. (ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). 

Письменное согласие работника обязательно, например, при обработке биометрических данных и спецкатегорий персональных данных о расовой, национальной принадлежности, политических и религиозных убеждениях. 

Размер штрафа составит: для должностных лиц — от 10000 до 20000 рублей, для юридических лиц — от 15000 до 75000 рублей. 

Предполагаю, что применение ответственности будет аналогично процессу с трудовыми договорами (ст. 5.27 КоАП РФ) — за каждый неправильно оформленный документ. Покажет это первый срез инспекционной практики во второй половине 2017 года. 

2) Административной ответственности не избежать, если локальный нормативный акт (положение, регламент и проч.) по работе с персональными данными не будет размещен на сайте компании либо к нему не будет обеспечен неограниченный доступ (требования ст. 18.1 Федерального закона от 27.07.2006 №?152-ФЗ «О персональных данных»). 

В такой ситуации размер штрафа для должностных лиц составит от 3000 до 6000 рублей, для юридических лиц — от 15000 до 30000 рублей. 

3) Серьезные штрафы можно получить, если компания не ответит на запрос (письменный или устный) работника и не предоставит ему информацию о том, как происходит обработка персональных данных: цели, сроки обработки и хранения данных, ответственное лицо и проч. (ст. 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). 

Работодателю грозит предупреждение или штраф: для должностных лиц — от 4000 до 6000 рублей, для юридических — от 20000 до 40000 рублей. 

По требованию гражданина компания должна уточнить, блокировать или уничтожить персональные данные, если они неполные, устарели, неточные, были незаконно получены, не обязательны для обработки. 

Неисполнение требования влечет предупреждение или наложение штрафа: для должностных лиц — от 4000 до 10000 рублей, для юридических лиц — от 25000 до 45000 рублей. 

Минимизировать риски можно, если: 

иметь письменные согласия работников, соискателей, третьих лиц на обработку данных; 

принять локальный нормативный акт (акты) по защите персональных данных; 

опубликовать локальный акт (акты) на сайте компании или обеспечить к нему/ним неограниченный доступ для ознакомления; 

зарегистрироваться в качестве оператора персональных данных; 

иметь в штате сотрудника, ответственного за организацию работы по обработке персональных данных; 

обеспечить законную обработку персональных данных в информационных системах; 

защищать персональные данные от утечек и проч.

Пример положения о хранении и использовании персональных данных

Пример формы заявления на обработку персональных данных